目次

• 目次
• はじめに
• イベントページ
• セッション
  • セッション① AWSのセキュリティイベントre:Inforceいってきた！朝刊版 アマゾン ウェブ サービス ジャパン合同会社 松本 照吾さん
    • 概要
    • 感想
  • セッション② 今更ながらAmazon DynamoDB の論文を真面目に読んでみた 加藤雅己さん
    • 資料
    • 概要
    • 感想
    • DynamoDBの論文
  • LT① アナハイムに行ってきた！AWS re:Inforce 2023参加報告（速報版） ニューリジェンセキュリティ株式会社 大島悠司さん
    • 資料
    • 概要
    • 感想
  • LT② AWS Shield Advancedの設計して得られたノウハウ NTTデータ・アイ 遠藤大介さん
    • 資料
    • 概要
    • 感想
  • LT③ Amazon FSx on ONTAPをさわってみたはなし（仮） めるさん
    • 資料
    • 概要
    • 感想
• 最後に

はじめに

6/20 JAWS-UG朝会 #46 の参加レポートです。 今日はre:Inforceのお話が多く、re:Inforce行きたくなりました。

イベントページ

jawsug-asa.connpass.com

セッション

セッション① AWSのセキュリティイベントre:Inforceいってきた！朝刊版 アマゾン ウェブ サービス ジャパン合同会社 松本 照吾さん

概要

• AWS re:Inforce
  • AWSセキュリティとコンプライアンスに特化したグローバルカンファレンス
  • １つのコンデンションセンターで行われてちょうどよい規模感
  • 同じ興味を持つ人と交流できる
  • その場でしか得られないプライスレスな経験
    • VRデータセンタツアー
  • 今年はジャパンツアーを実施
    • CISOのCJ Mosesによるジャパンツアー向け特別講演
    • 感想LTなど参加者との交流
• AWS re:Inforc2023 re:Cap Seminar を6/29に実施

aws-startup-lofts.com

感想

re:Inforceはre:Inventと比べると、セキュリティに特化していて規模感も大きすぎないところが良い、 興味のベクトルが同じ方を向いている人が多そうで、参加してみたくなりました。

そのためには、ただただお金の問題を解決しないとですね…

セッション② 今更ながらAmazon DynamoDB の論文を真面目に読んでみた 加藤雅己さん

資料

speakerdeck.com

概要

• 2022年7月に公開された論文を読んだ

  • DynamoDBのアーキテクチャとその進化の歴史
  • サービスの中身を知った方がいいものを作れると思った。
  • AWSの顧客体験への強い意志を感じた。

• DynamoDBの特徴

  • NoSQLデータベースらしいシンプルなクエリ構造
  • 書き込みの負荷分散は難しい
  • Put/Get/Scanなどシンプルなクエリしかサポートしない
    • その代わりにパフォーマンスがテーブルのサイズ、リクエスト量によらず一貫
  • キャパシティが不足していればスロットルがかかる

• DynamoDBのアーキテクチャ

  • 複数のマイクロサービスアーキテクチャを組み合わせている
  • 最低３つのAZにデータを複製
  • マルチテナントアーキテクチャ　×　シングルテナントエクスペリエンス
    • 1つのテーブルを小さなパーティションに分割し、ストレージノードに分散配置

• プロビジョンドからオンデマンドへの旅

  • テーブルのスループットをパーティションに均等に割り当て
    • 合計スループットがノードの限界を超えないように配置
      • 特定なキー領域へのアクセス集中してしまう。
  • バーストによる瞬間的なリクエスト増大の吸収
  • キャパシティ調整による空間的リクエスト分布の吸収
    • 特定なキー領域へのアクセス集中の課題は残る
  • テーブル全域の監視による不当なスロットルの防止
  • 消費キャパシティの監視によるパーティションの適切な配置換え
  • リクエストが集中するパーティションの分割

• まとめ

  • 出てきた課題に対し、迅速に対応可能な部分から改善していく姿勢を見習いたい
  • せめと守りの仕組みを作ることで安全なアプリケーションを設計できる
  • 裏側を知ることでより良いアプリケーションを設計できるのではないか。

感想

英語の論文とはいえ、13ページ程度とのことなので、英語の勉強もかねて自分も読んでみようと思いました。 DynamoDBの復習になってとても良いセッションでした。

DynamoDBの論文

https://www.usenix.org/system/files/atc22-elhemali.pdf

LT① アナハイムに行ってきた！AWS re:Inforce 2023参加報告（速報版） ニューリジェンセキュリティ株式会社 大島悠司さん

資料

speakerdeck.com

概要

• ジャパンツアーに参加
• Japan Nightでツアー参加者同士の交流
• 基調講演に最前列で参加
  • セキュリティは最優先事項
  • 常に大量のログを分析してセキュリティ向上に寄与している。
• EXPO
  • 様々なセキュリティ製品の最新技術を知れる。
• ハンズオンセッション
  • 当日発表されたサービスをいち早く触ることができた。
• CISOのCJ Mosesによるジャパンツアー向け特別講演
• ロサンゼルス視察

感想

re:Inforceもre:Inventも熱量が高くて一度は参加してみたいと常々思っています。 現地で交流しながら新しい技術に触れてハンズオンした経験を共有いただけると、その気持ちがより高まります。

繰り返しですが、お金が。。。

LT② AWS Shield Advancedの設計して得られたノウハウ NTTデータ・アイ 遠藤大介さん

資料

qiita.com

概要

• AWS Shieldとは
  • DDoS防御
  • L3,L4層を保護
• Advanced
  • L7も保護対象(3,000ドル／月の年単位サブスクリプション)
  • AWS WAFとの統合
• SRTとの問い合わせは英語で
  • 日本語サポートの場合はSRTと直接やり取りできない。
  • 平日9:00～18:00のベストエフォート対応になってしまう。
  • 英語で起票することで24/365の対応や直接のやり取りが可能
• WAFログ用バケットの暗号化方式に気を付ける
  • SRTチーム用のWAFアクセス権限を与えることで、DDoS時に対応するカスタムWAFルール作成のサポートを受けられる。
  • WAFログを保存する暗号化方式をSSE-S3にする必要がある。
• WAFのルールは惜しまず活用すべし
  • 統合しているWAFの基本料金が含まれる
  • 1500WCUまでは追加料金がかからない。必要なルールは適用するのが良い。
• API Gateway は可能であればCloudFrontと統合して利用すべし
  • API Gateway はShield Advancedと統合できない。
  • 前段にCloudFrontと置いて、WAFとShield Advancedを統合する。

感想

Shield Advanced 普段使えなくて（金銭的に）あまり勉強できないサービスなので、Tipsの共有とてもありがたいです！勉強になりました！！

LT③ Amazon FSx on ONTAPをさわってみたはなし（仮） めるさん

資料

speakerdeck.com

概要

• NetApp社のONTAPを使用したファイルシステムフルマネージドサービス
• 重複排除の性能が良い
• SnapMirrorによるファイル転送
• 詰まった点
  • ONTAP CLIを実行するにあたりSSHアクセスできない
    • セキュリティグループはアタッチされたENIに対して付与されている
    • そのセキュリティグループの設定もれだった。
• 今後やりたいこと
  • リソース作成手順のCLI化
  • SnapMirrorでの移行
  • FabricPoolによる階層化

感想

Amazon FSx もONTAPもなかなか触る機会がないので、知見や詰まった点を共有いただけるのは、本当にありがたいことだなぁと思いました。

最後に

re:Inforceのお話、英語の論文を読んだお話、AWSの勉強だけでなく英語の勉強もしたくなりました。 やりたいことが増えるのはいいけど、なかなか手が回らないのも考え物ですね。どうしたものか。。。

今月も朝会の開催、ありがとうございました！